2025年思科試題及答案一、單項(xiàng)選擇題（每題2分，共20分）1.某企業(yè)網(wǎng)絡(luò)中，核心交換機(jī)通過GigabitEthernet0/1接口連接到防火墻，該接口需要配置為Trunk模式以承載VLAN10、20、30的流量。以下哪條命令可正確設(shè)置允許的VLAN范圍？A.switchporttrunkallowedvlan10-30B.switchporttrunkallowedvlanadd10,20,30C.switchporttrunkallowedvlan10,20,30D.switchporttrunkallowedvlanremove1-9,31-4094答案：C2.某IPv6網(wǎng)絡(luò)中，路由器R1的GigabitEthernet0/0接口需要配置全局單播地址2001:db8:1::1/64，同時(shí)啟用自動(dòng)配置的鏈路本地地址。以下配置命令正確的是？A.interfaceGigabitEthernet0/0ipv6address2001:db8:1::1/64link-localauto-configB.interfaceGigabitEthernet0/0ipv6address2001:db8:1::1/64ipv6enableC.interfaceGigabitEthernet0/0ipv6address2001:db8:1::1/64link-localfe80::1D.interfaceGigabitEthernet0/0ipv6address2001:db8:1::1/64ipv6link-localaddressauto答案：B（注：IPv6接口啟用后會(huì)自動(dòng)提供鏈路本地地址，無需額外配置link-local參數(shù)）3.關(guān)于EIGRP協(xié)議的鄰居發(fā)現(xiàn)機(jī)制，以下描述錯(cuò)誤的是？A.通過組播地址224.0.0.10發(fā)送Hello包B.Hello包的發(fā)送間隔在LAN接口默認(rèn)是5秒，廣域網(wǎng)接口（如幀中繼）默認(rèn)是60秒C.鄰居關(guān)系建立需要AS號(hào)、K值、認(rèn)證等參數(shù)一致D.當(dāng)連續(xù)3個(gè)Hello間隔未收到鄰居的Hello包時(shí)，標(biāo)記鄰居為不可達(dá)答案：D（注：EIGRP的Hold時(shí)間默認(rèn)是Hello間隔的3倍，LAN接口為15秒，廣域網(wǎng)為180秒，超過Hold時(shí)間才標(biāo)記鄰居不可達(dá)）4.某企業(yè)網(wǎng)絡(luò)部署了DHCPSnooping功能，接入交換機(jī)SW1的GigabitEthernet0/2接口連接用戶終端。為防止DHCP服務(wù)器仿冒攻擊，需將該接口配置為非信任接口。以下命令正確的是？A.ipdhcpsnoopingtrustinterfaceGigabitEthernet0/2B.noipdhcpsnoopingtrustinterfaceGigabitEthernet0/2C.ipdhcpsnoopinglimitrate10interfaceGigabitEthernet0/2D.ipdhcpsnoopinginformationoptionallowinterfaceGigabitEthernet0/2答案：B（注：默認(rèn)所有接口為非信任接口，使用“ipdhcpsnoopingtrust”命令標(biāo)記信任接口，因此取消信任需用“no”）5.在SDN架構(gòu)中，控制器與轉(zhuǎn)發(fā)設(shè)備之間的通信通常使用哪種協(xié)議？A.OpenFlowB.BGPC.OSPFD.ICMP答案：A6.某網(wǎng)絡(luò)中，路由器R1的路由表顯示一條OE2類型的路由，其度量值為20。以下關(guān)于該路由的描述正確的是？A.該路由是OSPF區(qū)域內(nèi)路由，度量值為20B.該路由是OSPF外部路由，度量值僅包含外部路徑開銷C.該路由是OSPF外部路由，度量值包含內(nèi)部和外部路徑開銷之和D.該路由是OSPF域間路由，度量值為20答案：B（注：OSPFE2外部路由的度量值僅記錄外部引入時(shí)的開銷，不累加內(nèi)部路徑開銷）7.以下哪項(xiàng)不是IPv6相比IPv4的改進(jìn)？A.簡(jiǎn)化的報(bào)頭結(jié)構(gòu)B.內(nèi)置IPSec支持C.廣播地址替換為任播地址D.支持自動(dòng)配置（SLAAC）答案：C（注：IPv6取消了廣播地址，使用多播和任播，但任播并非“替換”廣播，而是新增類型）8.某企業(yè)網(wǎng)絡(luò)需要限制員工訪問社交網(wǎng)站，應(yīng)在防火墻的哪個(gè)位置部署基于URL過濾的訪問控制列表？A.核心層交換機(jī)的Trunk接口B.接入層交換機(jī)的訪問接口C.防火墻的WAN口入方向D.防火墻的LAN口出方向答案：D（注：URL過濾需檢查用戶發(fā)起的請(qǐng)求，應(yīng)在內(nèi)網(wǎng)用戶訪問外網(wǎng)的出方向部署）9.關(guān)于BGP路由選路規(guī)則，以下優(yōu)先級(jí)最高的是？A.本地優(yōu)先級(jí)（LocalPreference）B.AS路徑長(zhǎng)度（AS-Path）C.起源類型（Origin）D.權(quán)重（Weight）答案：D（注：BGP選路規(guī)則中，Weight（本地設(shè)備自定義，僅本地有效）優(yōu)先級(jí)最高，其次是LocalPreference）10.某交換機(jī)的MAC地址表如下所示，當(dāng)交換機(jī)從GigabitEthernet0/3接口接收到目的MAC為001a:2b3c:4d5e的幀時(shí)，會(huì)如何處理？端口MAC地址VLANGigabitEthernet0/1001a:2b3c:4d5010GigabitEthernet0/2001a:2b3c:4d5110GigabitEthernet0/3001a:2b3c:4d5210A.泛洪到所有VLAN10的接口（除接收接口）B.泛洪到所有接口（除接收接口）C.丟棄該幀D.從GigabitEthernet0/1或0/2接口轉(zhuǎn)發(fā)答案：A（注：MAC地址表中無目的MAC，交換機(jī)會(huì)向同VLAN的其他接口泛洪）二、填空題（每題3分，共15分）1.OSPF協(xié)議中，DR（指定路由器）和BDR（備份指定路由器）的選舉基于________和RouterID，其中優(yōu)先級(jí)值范圍是________。答案：接口優(yōu)先級(jí)；0-2552.IPv6的任播地址表示一組接口，數(shù)據(jù)包會(huì)被路由到________的接口。答案：距離最近（或路由開銷最小）3.交換機(jī)的STP（提供樹協(xié)議）中，端口狀態(tài)從Blocking到Forwarding需要經(jīng)過________和________兩個(gè)階段。答案：Listening；Learning4.擴(kuò)展ACL（AccessControlList）的編號(hào)范圍是________，其可以基于________、目的IP地址、端口號(hào)等參數(shù)進(jìn)行過濾。答案：100-199（或2000-2699，取決于IOS版本）；源IP地址5.EIGRP協(xié)議使用________算法來維護(hù)無環(huán)路的路由，并通過________消息發(fā)送拓?fù)涓?。答案：DUAL（擴(kuò)散更新算法）；Update三、簡(jiǎn)答題（每題10分，共30分）1.簡(jiǎn)述IPv6無狀態(tài)自動(dòng)配置（SLAAC）的工作流程，并說明其與DHCPv6的主要區(qū)別。答案：IPv6SLAAC的工作流程如下：（1）主機(jī)啟動(dòng)后，首先通過ICMPv6的鄰居發(fā)現(xiàn)協(xié)議（NDP）發(fā)送路由器請(qǐng)求（RouterSolicitation，RS）報(bào)文，請(qǐng)求路由器發(fā)送路由通告（RouterAdvertisement，RA）。（2）路由器收到RS后，發(fā)送RA報(bào)文，其中包含網(wǎng)絡(luò)前綴、前綴長(zhǎng)度、跳數(shù)限制等信息，以及是否啟用其他配置（如DNS服務(wù)器）的標(biāo)志。（3）主機(jī)根據(jù)RA中的前綴信息，結(jié)合自身接口的MAC地址（通過EUI-64算法）提供全局單播地址（如前綴為2001:db8::/64，MAC為001a:2b3c:4d5e，則接口ID為021a:2bff:fe3c:4d5e，最終地址為2001:db8::021a:2bff:fe3c:4d5e/64）。（4）主機(jī)通過NDP的鄰居請(qǐng)求（NeighborSolicitation，NS）和鄰居通告（NeighborAdvertisement，NA）驗(yàn)證地址唯一性（DAD，重復(fù)地址檢測(cè)），若未沖突則地址生效。SLAAC與DHCPv6的主要區(qū)別：SLAAC僅通過路由器通告獲取網(wǎng)絡(luò)前綴和基本配置，無法獲取DNS服務(wù)器、域名等額外信息；DHCPv6可提供完整的配置參數(shù)（如DNS、默認(rèn)路由等）。SLAAC是無狀態(tài)的，主機(jī)自主提供地址；DHCPv6可以是有狀態(tài)（分配特定地址）或無狀態(tài)（僅提供額外信息）。2.比較靜態(tài)路由與動(dòng)態(tài)路由協(xié)議（如OSPF）的優(yōu)缺點(diǎn)，并說明在企業(yè)網(wǎng)絡(luò)中如何選擇兩者的結(jié)合方式。答案：靜態(tài)路由的優(yōu)點(diǎn)：配置簡(jiǎn)單、路由開銷?。o協(xié)議報(bào)文交互）、安全性高（無路由信息泄露）；缺點(diǎn)：無法自動(dòng)適應(yīng)網(wǎng)絡(luò)拓?fù)渥兓S護(hù)成本高（需手動(dòng)更新），適用于小規(guī)?；蛲?fù)浞€(wěn)定的網(wǎng)絡(luò)。動(dòng)態(tài)路由協(xié)議（如OSPF）的優(yōu)點(diǎn)：自動(dòng)發(fā)現(xiàn)拓?fù)渥兓⒏侣酚桑m用于中大型網(wǎng)絡(luò)；缺點(diǎn)：占用帶寬（協(xié)議報(bào)文交互）、需要額外的CPU/內(nèi)存資源（維護(hù)路由表和拓?fù)鋽?shù)據(jù)庫），存在潛在的安全風(fēng)險(xiǎn)（如路由欺騙）。企業(yè)網(wǎng)絡(luò)中的結(jié)合方式：核心層與匯聚層使用動(dòng)態(tài)路由協(xié)議（如OSPF或EIGRP），實(shí)現(xiàn)快速收斂和負(fù)載均衡；邊緣接入層（如分支辦公室、固定鏈路）使用靜態(tài)路由，減少協(xié)議開銷；對(duì)關(guān)鍵鏈路（如到ISP的出口）可同時(shí)配置靜態(tài)路由和動(dòng)態(tài)路由，通過浮動(dòng)靜態(tài)路由（設(shè)置較高的管理距離）實(shí)現(xiàn)備份，提高可靠性；對(duì)需要嚴(yán)格控制路由路徑的場(chǎng)景（如跨數(shù)據(jù)中心的專用鏈路），使用靜態(tài)路由確保流量按預(yù)定路徑傳輸。3.請(qǐng)說明交換機(jī)端口安全（PortSecurity）的工作原理及常用配置參數(shù)，并舉例說明如何防止MAC地址泛洪攻擊。答案：端口安全的工作原理：交換機(jī)通過綁定接口與特定MAC地址，限制該接口允許學(xué)習(xí)的MAC地址數(shù)量，防止未經(jīng)授權(quán)的設(shè)備接入或惡意攻擊。常用配置參數(shù)：maximum：設(shè)置接口允許學(xué)習(xí)的最大MAC地址數(shù)量（默認(rèn)1）；sticky：將動(dòng)態(tài)學(xué)習(xí)的MAC地址轉(zhuǎn)換為靜態(tài)綁定（保存到運(yùn)行配置）；violation：設(shè)置違規(guī)行為的處理方式（shutdown、restrict、protect）；mac-address：手動(dòng)綁定特定MAC地址。防止MAC地址泛洪攻擊的配置示例：假設(shè)交換機(jī)SW1的GigabitEthernet0/1接口連接用戶終端，需限制最多學(xué)習(xí)2個(gè)MAC地址，違規(guī)則關(guān)閉接口。配置命令如下：SW1(config)interfaceGigabitEthernet0/1SW1(config-if)switchportmodeaccessSW1(config-if)switchportport-securitySW1(config-if)switchportport-securitymaximum2SW1(config-if)switchportport-securityviolationshutdownSW1(config-if)switchportport-securitymac-addresssticky該配置下，當(dāng)攻擊者嘗試發(fā)送大量不同MAC地址的幀時(shí)，交換機(jī)學(xué)習(xí)的MAC地址數(shù)量超過2，觸發(fā)shutdown操作，關(guān)閉該接口，從而阻止攻擊。四、實(shí)驗(yàn)題（每題17.5分，共35分）1.某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢汉诵慕粨Q機(jī)SW1（VLAN10:192.168.10.1/24，VLAN20:192.168.20.1/24）接入交換機(jī)SW2通過GigabitEthernet0/1接口連接到SW1的GigabitEthernet0/2接口（Trunk模式，允許VLAN10、20）SW2的GigabitEthernet0/3接口連接VLAN10的終端PC1（IP:192.168.10.100/24），GigabitEthernet0/4接口連接VLAN20的終端PC2（IP:192.168.20.100/24）要求實(shí)現(xiàn)以下功能：（1）SW1與SW2之間的Trunk鏈路使用802.1Q封裝，且僅允許VLAN10和20通過；（2）SW2的GigabitEthernet0/3接口配置為Access模式，屬于VLAN10，啟用端口安全（僅允許PC1的MAC地址001a:2b3c:4d5e接入，違規(guī)則關(guān)閉接口）；（3）SW2的GigabitEthernet0/4接口配置為Access模式，屬于VLAN20，允許動(dòng)態(tài)學(xué)習(xí)MAC地址，但最多學(xué)習(xí)3個(gè)，違規(guī)則丟棄多余幀（不關(guān)閉接口）。請(qǐng)寫出SW1和SW2的完整配置命令。答案：SW1的配置：SW1(config)interfaceGigabitEthernet0/2SW1(config-if)switchportmodetrunkSW1(config-if)switchporttrunkencapsulationdot1qSW1(config-if)switchporttrunkallowedvlan10,20SW1(config-if)exitSW2的配置：SW2(config)interfaceGigabitEthernet0/1SW2(config-if)switchportmodetrunkSW2(config-if)switchporttrunkencapsulationdot1qSW2(config-if)switchporttrunkallowedvlan10,20SW2(config-if)exitSW2(config)interfaceGigabitEthernet0/3SW2(config-if)switchportmodeaccessSW2(config-if)switchportaccessvlan10SW2(config-if)switchportport-securitySW2(config-if)switchportport-securitymac-address001a:2b3c:4d5eSW2(config-if)switchportport-securityviolationshutdownSW2(config-if)exitSW2(config)interfaceGigabitEthernet0/4SW2(config-if)switchportmodeaccessSW2(config-if)switchportaccessvlan20SW2(config-if)switchportport-securitySW2(config-if)switchportport-securitymaximum3SW2(config-if)switchportport-securityviolationrestrictSW2(config-if)exit2.某企業(yè)路由器R1連接兩個(gè)子網(wǎng)：192.168.1.0/24（接口GigabitEthernet0/0）和10.0.0.0/24（接口GigabitEthernet0/1），同時(shí)需要通過廣域網(wǎng)接口Serial0/0/0連接到ISP路由器R2（IP:202.100.1.2/30），實(shí)現(xiàn)與公網(wǎng)的通信。要求：（1）R1的Serial0/0/0接口IP地址為202.100.1.1/30；（2）配置靜態(tài)路由，使192.168.1.0/24和10.0.0.0/24子網(wǎng)的流量通過Serial0/0/0接口訪問公網(wǎng)；（3）配置NAT過載（PAT），將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為Serial0/0/0接口的公網(wǎng)IP；（4）驗(yàn)證配置，寫出檢查路由表和NAT轉(zhuǎn)換表的命令。答案：R1的配置：R1(config)interfaceGigabitEthernet0/0R1(config-if)ipaddress192.168.1.1/24R1(config-if)noshutdownR1(config-if)exitR1(config)interfaceGigabitEthernet0/1R1(config-if)ipaddress1